Author: Da_pierre

Le Conseil d’Etat face à un choix complexe : réprimer la grève « clandestine » ou préserver les données de santé ?
Donnée de santé par Da_pierre le 03/05/2023

Pour une fois en 2023, parlons d’un mouvement social sans lien avec la réforme des retraites. Celui ayant frappé l’administration pénitentiaire, à l’hiver 2017-2018, et ayant donné lieu à une étonnante décision du Conseil d’Etat. 🚫 Les agents de l’administration pénitentiaire, au regard de leurs fonctions, sont assez logiquement privés du droit de grève. En revanche, à l’instar de tout travailleur, ils peuvent bénéficier d’un …
En savoir plus
Règles de sécurité OIV pour les établissements de santé
cybersécurité, Droit de la santé, Droit des données, Droit hospitalier, Sécurité informatique par Da_pierre le 24/04/2023

Les établissements supports de GHT et les quelques autres établissements de santé heureux destinataires d’un arrêté les désignant en tant qu’opérateur d’importance vitale (OIV) ont trois mois pour se conformer aux règles de sécurité fixées au terme d’un arrêté du 17 avril 2023. Elles couvrent 20 secteurs traditionnels de la sécurité : Ces règles sont complétées par les modalités de déclaration à l’ANSSI des systèmes …
En savoir plus
Une hiérarchie des bases juridiques prévues par le RGPD s’établit peu à peu
Consentement, Droit des données par Da_pierre le 19/04/2023

On savait déjà, depuis une décision PricewaterhouseCoopers Business Solutions rendue par l’HDPA (Grèce), le 30 juillet 2019, que le consentement était une base juridique supplétive. Cette interprétation semble avoir été partagée par la CNIL, dans sa délibération Spartoo du 28 juillet 2020 et, plus récemment, l’autorité danoise. La Cour de Justice, reconnaissant ainsi tacitement une hiérarchie entre les bases visées à l’article 6 du RGPD, …
En savoir plus
Rançongiciels : « Ce qu’il ne faut pas faire » (et ce qu’il faut faire) pour éviter la catastrophe
cybersécurité, Dark web, Sécurité informatique par Da_pierre le 12/04/2023

S’il y a bien une menace informatique qui est connue du grand public, c’est le rançongiciel. Récemment, c’est un autre aspect de ce type d’incident qui a été mis en évidence. GDPRHub rapporte en effet trois sanctions, deux prononcées par l’autorité de protection des données roumaine, l’autre par celle de Norvège, à l’encontre de sociétés et d’une municipalité victimes d’un rançongiciel. Evidemment, ce sont le …
En savoir plus
Confidentialité, disponibilité et BYOD : le responsable de traitement doit prendre des mesures. Mais lesquelles?
Accès au dossier médical, Confidentialité, cybersécurité, Droit de la santé, Droit des données par Da_pierre le 05/04/2023

L’usage d’appareils personnels de ses agents ne suffit pas, en effet, à écarter la responsabilité de l’employeur. Comme le rappelait la CNIL en mars 2019, l’un des principaux risques tient à l’indisponibilité des données professionnelles dans le SI du responsable de traitement. Mais la confidentialité est également un sujet. Dans le domaine de la santé, c’est principalement le partage de données de santé via des …
En savoir plus
Mieux vaut ne pas sous-estimer la différence entre anonymat et pseudonymat dans le RGPD
Donnée de santé, Droit des données, Droit des patients, Pseudonymat, RGPD par Da_pierre le 29/03/2023

C’est pourtant ce qui a été reproché à deux organismes de recherche français et au gestionnaire du registre du cancer de Hambourg, récemment. Le second s’est ainsi vu rappeler que même hachée au moyen d’un procédé irréversible, la donnée conserve un caractère personnel. La décision est logique : elle s’inscrit dans la lignée de la jurisprudence de la CEDH (S. et Marper c/ Royaume-Uni, 2008). …
En savoir plus
Clés USB perdues et données « sensibles » exposées : comment éviter les sanctions ?
cybersécurité, Droit des données, RGPD, Sécurité informatique par Da_pierre le 22/03/2023

Forces de l’ordre et juridictions, bien qu’on en parle peu, ne sont pas exonérées du respect du RGPD, ou de sa petite soeur, la directive Police-Justice. L’autorité de protection des données polonaise a ainsi prononcé une amende à l’encontre d’une juridiction, dont les membres avaient perdu trois clés USB, non chiffrées, contenant des projets de jugement. Le montant de l’amende prononcée semble – de l’ordre …
En savoir plus
Un salarié peut obtenir copie de données personnelles relatives à ses collègues
Confidentialité, Droit des données, Droit hospitalier par Da_pierre le 15/03/2023

Un salarié peut, au titre de son droit à la preuve, obtenir copie de données personnelles relatives à ses collègues. La décision ne manquera pas d’étonner – pour ne pas dire choquer – les purs et durs du RGPD. Mais elle émane directement de la Cour de Cassation et paraît donc délicate à contester (Soc., 8 mars 2023, n° 21-12492). Et surtout, elle intervient moins …
En savoir plus
Désactiver les sauvegardes et effacer volontairement des données constituent une faute
Accès au dossier médical, cybersécurité, Droit de la santé, Droit des données par Da_pierre le 10/03/2023

Désactiver les sauvegardes automatiques et effacer volontairement des données constituent une faute grave. C’est en ce sens qu’a statué la Cour d’Appel de Douai dans un arrêt du 16 décembre 2022, approuvant ainsi le licenciement d’un salarié. Reste à savoir si l’employeur, en sanctionnant son salarié, ne contribue pas à matérialiser un manquement au RGPD. A cet égard, la « CNIL espagnole » avait considéré que sanctionner …
En savoir plus
Des références obsolètes dans une politique de confidentialité peuvent suffire à établir un manquement au RGPD
Droit des données, Information, Responsabilité par Da_pierre le 06/03/2023

C’est en tout cas l’un des moyens ayant permis à l’autorité de protection des données irlandaises de sanctionner un groupe d’EHPAD pour manquement aux principes d’intégrité et de confidentialité et à l’obligation de sécurité : DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd. Déjà, en juin 2022 et avril 2021, les CNIL italienne et tchèque avaient-elles pu considérer qu’un document obsolète et incomplet violait …
En savoir plus